Теория и практика: VPN стандартными средствами Windows 2000

Николай Прокофьев

Введение

К бою!

Копайте глубже, господа!

Аутентификация

Использование коммутируемых соединений

Создание и настройка VPN-подключения

Выводы

Введение

До недавнего времени стремительно развивающаяся сеть Интернет оставалась исключительно средой обмена сообщениями и поиска необходимой информации. Абсолютное большинство компаний, в той или иной форме предоставлявших своим сотрудникам доступ к своим ресурсам, предполагали использовать Интернет в качестве источника информации. Ставшие знаменитыми проделки Кевина Митника, приведшие к утечке информации из оборонной индустрии США, послужили убедительным доводом в пользу разделения сети Интернет и корпоративных секретов. Дело доходило до того, что в компаниях, работающих в режиме повышенной «шпионоопасности», компьютеры, имевшие соединение с Интернетом, устанавливали в особых «секретных» комнатах, полностью исключающих вероятность утечки внутренней информации в Интернет. Причина тому — неосмотрительное использование рядом сотрудников крупных компаний системы электронной почты для переброски информации с работы домой в целях дальнейшей проработки ее в нерабочее время. В первой половине 90-х некоторые секреты вырвались на волю именно из-за гипертрофированной работоспособности своих создателей. Предложения же особо «инициативного» сотрудника использовать эту сеть для передачи сверх-сверх-сверхсекретной информации между филиалами автоматически проводили к «расстрелу на месте». Однако объединение информационных ресурсов разрозненных подразделений в единую систему сулило огромные преимущества, и единственным препятствием на этом пути была колоссальная стоимость организации и поддержки собственных «безопасных» транспортных линий, по которым должен был идти обмен информацией. Некоторые организации создавали подобные системы, поскольку экономическая выгода такого объединения превышала затраты на его осуществление и поддержку. При этом зачастую каналы информационного обмена прокладывались параллельно уже существующим структурам сети Интернет. Фактически приходилось выполнять «лишнюю» работу, поскольку сама сеть Интернет позволяла объединить разрозненные подразделения с одной маленькой оговоркой: в силу заложенных в нее принципов она не могла гарантировать конфиденциальность информации, проходящей через ее структуры.

Выходом из тупика стали разработка и внедрение оригинального способа соединения компьютеров, при котором информация, передаваемая по общественным каналам, оказывалась защищенной от перехвата и декодирования третьими лицами. Совокупность сетевых соединений, используемых для установления соединения между частными (private) сетями посредством общественных (public) каналов, получила название виртуальных частных сетей (Virtual Private Network, VPN). Основные преимущества этих сетей приведены в таблице.

Однако популярность VPN-сетей определяется не только предоставляемыми ими расширенными возможностями установления соединения. В значительной степени она обусловлена наличием их встроенной поддержки популярными операционными системами, такими как MS Windows 2000 и Linux. В этой статье мы ограничимся операционной системой Windows 2000, а почитатели операционных систем семейства UNIX могут обратиться к ранее опубликованным в нашем журнале материалам.

В начало В начало

К бою!

Для создания VPN-объединений на базе Windows 2000, как правило, используются протоколы PPTP (Point-to-point tunneling protocol, Microsoft) и L2TP (Layer 2 tunneling protocol, Cisco) в сочетании с протоколом IPSec. Протокол PPTP является более универсальным, позволяя инкапсулировать не только IP-трафик, но и пакеты других протоколов (например, IPX). В среде Windows 2000 можно организовать VPN-соединения как по ЛВС (типа «сервер-сервер», а также «клиент-сервер»), так и поверх коммутируемого соединения. Встроенное программное обеспечение Dial-Up networking позволяет организовать соединения для удаленного доступа в корпоративную сеть, динамически назначая сетевые адреса системам, подключаемым к шлюзам IPSec.

Создание виртуальных частных сетей осуществляется посредством управляющей консоли MMC (Microsoft Management Console), входящей во все версии операционных систем семейства Windows 2000. Сама процедура конфигурирования VPN-средств операционной системы, по большому счету, заключается в назначении правил функционирования протокола IPSec на локальных машинах. После окончания установки операционной системы вы оказываетесь наедине с рядом стандартных правил, однако ни одно из них не является активным по умолчанию. Любое из указанных правил можно применить как ко всему трафику локальной системы, так и к отдельным его «потокам». При этом разделение трафика выполняется по адресу удаленной системы, позволяя шифровать весь трафик локальной станции с сервером «A», оставляя незащищенным трафик с сервером «B». Кроме того, можно установить шифрование трафика по запросу удаленного хоста. Это позволяет осуществлять открытый обмен информацией с сервером, подключая шифровку трафика только для особо секретных его фрагментов. После отсылки клиентом запроса на конфиденциальную сессию сервер инициирует защищенную сессию путем посылки запроса на согласование параметров защищенной передачи. Если «спевка» клиента и сервера прошла успешно, то устанавливается закрытое соединение и инициируется передача информации. Недостатком рассмотренных мер безопасности является тот прискорбный факт, что, несмотря на наличие выбора между ними, в каждый конкретный момент времени активной может быть только одна из них. Кроме того, без хорошо продуманного плана создания VPN конфигурирование политики IPSec на каждой локальной машине представляет значительные трудности. А если речь идет о сети не из 5-20 компьютеров, а из нескольких сотен рабочих станций, для полноты ощущений физически размещенных по всему миру, то в этом случае необходимость локального задания политик безопасности лишает всю систему требуемой гибкости, возлагая на пользователей зачастую непомерную тяжесть переконфигурирования своих рабочих станций под новую модель безопасности. Выходом из положения является использование для конфигурирования IPSec службы справочника Active Directory, приводящее к денонсации ранее установленных локальных политик безопасности.

В начало В начало

Копайте глубже, господа!

Интересная особенность была отмечена при заведомо ошибочном конфигурировании сервера на посылку запроса защищенной передачи при отключенной поддержке протокола IPSec: при первом соединении происходило подвисание рабочей станции на 2-3 минуты, после чего обмен данными проходил без помех. Эта задержка объясняется безуспешными попытками рабочей станции честно провести согласование политик безопасности и начать работу по защищенному каналу.

Сам протокол IPSec предоставляет весьма широкие возможности по выбору действующей политики для каждого соединения типа «хост-хост». Это проявляется в наличии некоторого набора параметров VPN-соединения, предоставляемых на выбор при организации конкретного подключения. Например, допустимо задание в качестве основного метода шифрования алгоритма 3DES с возможностью альтернативы (но только в случае невозможности использовать его) в виде алгоритма DES. Однако здесь есть один подводный камень, информацию о котором недавно распространила компания Microsoft. Рассмотрим случай максимально защищенной сети, использующей алгоритм шифрования 3DES на машинах. Поскольку единственным разрешенным алгоритмом является 3DES, то теоретически он обязательно должен использоваться для шифрации всего трафика. Однако в силу особенностей реализации протокола VPN в Windows 2000 (соединение любой ценой!) при отсутствии на обоих компьютерах пакета повышенной шифрации (High encryption pack) для шифрации трафика используется алгоритм DES. Ряд системных специалистов поспешили обвинить компанию Microsoft во всех смертных грехах, упустив из вида одну мелочь: факт согласования фиксировался в журнале регистрации событий. В случае если на одной машине этот пакет был установлен, то установить соединение между ними вообще не представляется возможным. Внимательнее читайте протоколы системных событий, господа… В то же время тот факт, что ПО, обеспечивающее безопасное соединение, не выдает предупреждение о смене уровня криптографической защищенности, является грубейшим нарушением общепринятых норм. Альтернативное ПО в аналогичных случаях блокирует соединение и выдает предупреждение.

В начало В начало

Аутентификация

Система аутентификации Windows 2000 вызывает неизменное восхищение «совладавших» с нею пользователей. Вместе с локально устанавливаемой политикой безопасности она существенно повышает уровень защиты данных, препятствуя перехвату и декодированию сетевого трафика пассивными снифферами. По большому счету, введение VPN является смертельным ударом по технологии «подслушивания» сетевого трафика, поскольку пакеты, адресованные различным хостам защищенной сети, при передаче маркируются адресом VPN-сервера, а внутренний адрес хоста назначения передается в зашифрованном виде внутри пакета, что препятствует раскрытию не только внутренней топологии сети, но и используемого в ней диапазона IP-адресов. Однако слабое место системы удаленного доступа не в этом: серьезные опасения вызывает сам процесс начальной аутентификации пользователя на сервере удаленного доступа, при котором имя пользователя и пароль для доступа передаются в слабо зашифрованном виде (или даже plain-текстом). Операционная система Windows 2000 позволяет изменить процедуру установления удаленного подключения, используя сертификат IPSec, выдаваемый не конечному пользователю, а удаленному компьютеру. В результате сначала запрашивается сертификат удаленной рабочей станции, и только потом, уже по шифрованному каналу, передается информация, необходимая для подключения к закрытой сети.

При аутентификации членов VPN-сетей можно использовать службу Kerberos, сертификаты безопасности и разделяемые ключи. Для реализации сертификатной аутентификации пользователей необходим доступ всех участников VPN к единому центру сертификации. Ситуация осложняется наличием в вашей системе собственного центра сертификации. В этом случае для установления VPN-соединения с внешним хостом при формировании политики безопасности вам придется выбрать такой сервер сертификации, который выдаст одинаковые сертификаты обоим хостам. В случае принадлежности взаимодействующих хостов одному домену (или доверенным доменам) рекомендуется использовать службу Kerberos, основанную на уже существующих полномочиях доступа пользователей.

В начало В начало

Использование коммутируемых соединений

Использование коммутируемых соединений для организации VPN-соединения имеет ряд отличий от простой сети VPN. Основным отличием является возможность назначать сетевые адреса компьютерам посредством протокола L2TP. Кроме того, на сервере должен быть установлен не только сервис Dial-Up networking, но и служба Routing and Remote Access Service и сервер RADIUS (Remote authentication Dial-In User Service), представляющий собой службу аутентификации пользователей. Для максимальной безопасности пользователи должны пройти процедуру аутентификации до подключения к VPN-структуре. Только после успешной аутентификации и последующего согласования параметров протоколов обмена пользователю предоставляется соединение для удаленного доступа к закрытой сети. Такая процедура аутентификации позволяет надежно защитить все данные, передаваемые по сети VPN.

Отличительной особенностью службы Dial-UP networking, входящей в состав операционной системы Windows 2000, является невозможность установить соединение с любой подсетью, за исключением подсети, с которой в настоящий момент установлено VPN-соединение. Это определяется изменениями в таблице маршрутизации, производимыми по умолчанию при установлении соединения. Однако локальное изменение таблицы маршрутизации в ручном режиме позволяет обойти это ограничение.

В начало В начало

Создание и настройка VPN-подключения

Для создания подключения к VPN необходимо:

  1. В папке Network and Dial-UP connections создать новое подключение (Make new connection).
  2. Из списка возможных типов подключения выбрать Connect to a private network through the Internet и явно указать тип начального соединения (например, провайдера услуг Интернета).
  3. Ввести IP-адрес сервера, с которым необходимо установить соединение.
  4. Указать, для каких пользователей доступно это соединение (для любого пользователя рабочей станции или только для текущего). При создании подключения для всех пользователей требуется пользователь с правами локального администратора.
  5. Для разрешения совместного доступа к ресурсам других компьютеров — участников VPN установите флажок Enable shared access for this connection.
В начало В начало

Выводы

Преимущества технологии VPN, позволяющей объединять территориально разобщенные подразделения в единую стройную систему, очевидны. Однако возникает вопрос о целесообразности такого объединения. Как правило, удаленные сотрудники используют технологии шифрации электронной почты перед ее передачей по открытой сети. Тем не менее, если для вашей работы необходим доступ к центральной базе из ряда представительств, вынужденных работать по общественным сетям, то сомнений быть не должно — VPN позволит просто, надежно и безопасно осуществить такое объединение.

КомпьютерПресс 5'2001

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует